请问web服务器的iptables开放端口的问题

neosnake · 发表于 2005-2-2 15:17:48

我现在有一台服务器上面跑的有apache2+php+informix+mysql，所以服务器上用netstat －lnp 看有80，4000（informix），3306，22（ssh）端口打开着。我想把除了80和22的其他端口都关掉。
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
但是这样造成了web服务无法访问.我也是刚学iptables，请问要如何才能让外面看不到4000，3306，这些端口但是可以正常使用80来提供web服务呢？请高人给个例子吧！

Bluedata · 发表于 2005-2-2 16:24:34

都“iptables -P INPUT DROP”了，还怎么访问呢？

neosnake · 发表于 2005-2-2 16:43:13

但是我后面又iptables -A INPUT -p tcp --dport 80 -j ACCEPT了的嘛

dannycat · 发表于 2005-2-2 22:04:46

-P DROP 没有必要，经常会造成困扰。注意至少要允许环回接口的通讯才成，即添加 -A INPUT -i lo -j ACCEPT。

其实完全可以如下：[code:1]（默认策略 ACCEPT）
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
...（其他允许规则）
/sbin/iptables -A INPUT -i eth0 -j DROP[/code:1]这样只简单地对有需要的 eth0 接口的进入数据包进行限制而不影响其他接口的通讯。

neosnake · 发表于 2005-2-3 09:43:49

哦，原来如此，谢谢dannycat。

		自动登录	找回密码
密码			注册